Política de Privacidade
Última atualizacao: 26 de março de 2026
iTask Solutions Ltda, CNPJ: 09.543.337/0001-10
- Introdução e Compromisso com a Privacidade
- Controlador de Dados
- Dados Coletados
- Base Legal para Tratamento
- Finalidade do Tratamento
- Compartilhamento de Dados
- Transferencia Internacional de Dados
- Retenção de Dados
- Direitos do Titular
- Segurança dos Dados
- Cookies e Tecnologias de Rastreamento
- Dados de Usuários Finais
- Menores de Idade
- Alterações na Política
- Contato do DPO
- Data de Vigência
1. Introdução e Compromisso com a Privacidade
A iTask Solutions Ltda ("iTask", "Nos", "Authentik"), inscrita no CNPJ sob o número 09.543.337/0001-10, tem o compromisso de proteger a privacidade e os dados pessoais de seus usuários, clientes e dos usuários finais que recebem mensagens de autenticação através da plataforma Authentik.
Esta Política de Privacidade descreve como coletamos, utilizamos, armazenamos, compartilhamos e protegemos dados pessoais no âmbito da prestacao de nossos serviços de autenticação multifator (MFA) via RCS (Rich Commúnication Services) e WhatsApp, em conformidade com a Lei Geral de Proteção de Dados (LGPD - Lei n. 13.709/2018) e demais legislações aplicaveis.
Ao utilizar a plataforma Authentik, você declara ter lido e compreendido esta Política. Caso não concorde com qualquer disposicao, solicitamos que não utilize nossos serviços.
2. Controlador de Dados
O controlador dos dados pessoais tratados pela plataforma Authentik e:
- Razão Social: iTask Solutions Ltda
- CNPJ: 09.543.337/0001-10
- E-mail de contato: contato@authentik.com.br
- Encarregado de Dados (DPO): dpo@authentik.com.br
O Encarregado de Proteção de Dados (DPO) e o ponto de contato entre a iTask, os titulares de dados e a Autoridade Nacional de Proteção de Dados (ANPD).
3. Dados Coletados
3.1. Dados de Cadastro
Informações fornecidas pelo Cliente durante o registro na plataforma:
- Nome completo ou razão social;
- Endereço de e-mail corporativo;
- Numero de telefone de contato;
- CNPJ da empresa;
- Cargo ou função do responsável.
3.2. Dados de Autenticação (Usuários Finais)
Dados tratados durante o processo de autenticação multifator:
- Numero de telefone do usuário final (destinatario da mensagem MFA);
- Status da sessão de autenticação (pendente, concluida, expirada, falha);
- Canal utilizado (RCS ou WhatsApp);
- Timestamp de envio, entrega e resposta;
- Resultado da verificação (sucesso ou falha).
3.3. Dados de Uso
Informações sobre a utilizacao da plataforma pelo Cliente:
- Registros de chamadas a API (logs de requisição);
- Métricas de consumo (volume de mensagens, taxas de sucesso);
- Configurações de integração e webhooks;
- Histórico de acesso ao painel administrativo.
3.4. Dados de Pagamento
Os dados de pagamento (número de cartão de crédito, dados bancarios) são processados diretamente por nossos provedores de pagamento (Stripe e/ou Asaas). O Authentik não armazena dados completos de cartão de crédito ou dados bancarios em seus servidores. Retemos apenas:
- Identificador da transacao;
- Ultimos 4 dígitos do cartão (para referencia);
- Status do pagamento;
- Histórico de faturas.
3.5. Dados Tecnicos
Informações coletadas automáticamente durante o acesso a plataforma:
- Endereço IP;
- User-agent do navegador;
- Sistema operacional e dispositivo;
- Cookies e identificadores de sessão;
- Paginas acessadas e tempo de navegacao.
4. Base Legal para Tratamento
O tratamento de dados pessoais pelo Authentik fundamenta-se nas seguintes bases legais previstas no Art. 7 da LGPD:
| Base Legal | Aplicação |
|---|---|
| Execução de contrato (Art. 7, V) | Prestacao do serviço de MFA contratado, processamento de pagamentos, suporte técnico |
| Consentimento (Art. 7, I) | Envio de comúnicações de marketing, coleta de cookies não essenciais, participacao em pesquisas |
| Interesse legítimo (Art. 7, IX) | Prevenção a fraudes, segurança da plataforma, melhoria dos serviços, analytics agregados |
| Cumprimento de obrigação legal (Art. 7, II) | Retenção de registros conforme Marco Civil da Internet, obrigações fiscais e contábeis |
5. Finalidade do Tratamento
Os dados pessoais coletados são tratados para as seguintes finalidades:
- Prestacao do serviço: envio de mensagens de autenticação via RCS e WhatsApp, verificação de identidade, gerenciamento de sessoes MFA;
- Gestão de conta: criacao e manutencao de conta, autenticação de acesso, gerenciamento de permissoes;
- Faturamento: processamento de pagamentos, emissão de notas fiscais, controle de consumo;
- Suporte: atendimento a solicitações, resolução de problemas técnicos, comúnicações operacionais;
- Segurança: detecção e prevenção de fraudes, proteção contra acessos não autorizados, monitoramento de atividades suspeitas;
- Melhoria do serviço: análise de métricas de uso agregadas, aprimoramento de funcionalidades, otimizacao de desempenho;
- Conformidade legal: cumprimento de obrigações regulatorias, resposta a requisições de autoridades competentes.
6. Compartilhamento de Dados
O Authentik pode compartilhar dados pessoais com as seguintes categorias de terceiros, estritamente para as finalidades descritas nesta Política:
6.1. Provedores de Mensageria
- Smart RCS: recebe o número de telefone do usuário final e o conteúdo da mensagem de autenticação para envio via canal RCS, em conformidade com as políticas do Google para agentes RCS;
- Meta / WhatsApp Business Platform: recebe o número de telefone do usuário final e o conteúdo da mensagem para envio via WhatsApp Cloud API, em conformidade com as políticas da Meta.
6.2. Provedores de Pagamento
- Stripe: processa transações de pagamento internacional;
- Asaas: processa transações de pagamento nacional (boleto, PIX, cartão).
6.3. Serviços de Infraestrutura
- Microsoft Azure: hospedagem de aplicação, banco de dados e armazenamento;
- Redis (Azure Cache): cache de dados para otimizacao de desempenho.
6.4. Outros Compartilhamentos
Podemos compartilhar dados pessoais quando exigido por lei, ordem judicial ou determinacao de autoridade competente, ou quando necessário para proteger nossos direitos, propriedade ou segurança.
7. Transferencia Internacional de Dados
Alguns dos nossos provedores de serviço podem estar localizados fora do Brasil. Nesses casos, a transferência internacional de dados ocorre em conformidade com o Art. 33 da LGPD, observando:
- Transferencia para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto na LGPD;
- Utilizacao de cláusulas contratuais padrão que garantam o cumprimento dos princípios e direitos do titular;
- Consentimento específico e em destaque do titular, quando aplicavel.
As transferências para a Meta (WhatsApp Cloud API) e Stripe envolvem servidores nos Estados Unidos e na Europa. Nesses casos, aplicamos salvaguardas contratuais adequadas conforme a legislação vigente.
8. Retenção de Dados
Os dados pessoais são retidos pelo período necessário para cumprir as finalidades para as quais foram coletados, conforme os prazos abaixo:
| Tipo de Dado | Periodo de Retenção | Justificativa |
|---|---|---|
| Dados de cadastro | Duracao do contrato + 5 anos | Obrigações legais e fiscais |
| Sessoes de autenticação (metadados) | 90 dias | Auditoria e resolução de disputas |
| Códigos OTP | Ate expiracao da sessão (max. 10 min) | Efemero, não retido após uso |
| Logs de API | 12 meses | Segurança e auditoria |
| Dados de pagamento | 5 anos após a transacao | Obrigações fiscais e contábeis |
| Dados técnicos (IP, user-agent) | 6 meses | Segurança e conformidade com Marco Civil |
| Numero de telefone do usuário final | 90 dias após última sessão | Auditoria e continuidade do serviço |
| Dados de mensagens RCS (status de entrega) | 90 dias | Auditoria e conformidade com políticas RCS |
Após o termino do período de retenção, os dados são anonimizados ou excluidos de forma segura. Dados anonimizados podem ser retidos indefinidamente para fins estatisticos.
9. Direitos do Titular
Em conformidade com o Art. 18 da LGPD, você tem direito a:
- Confirmacao e acesso: confirmar a existencia de tratamento e acessar seus dados pessoais;
- Correção: solicitar a correção de dados incompletos, inexatos ou desatualizados;
- Anonimização, bloqueio ou eliminação: solicitar a anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD;
- Portabilidade: solicitar a portabilidade dos dados a outro fornecedor de serviço, mediante requisição expressa;
- Eliminação: solicitar a eliminação dos dados pessoais tratados com base em consentimento;
- Informacao sobre compartilhamento: obter informação sobre as entidades publicas e privadas com as quais compartilhamos seus dados;
- Revogação do consentimento: revogar o consentimento a qualquer momento, sem prejuizo da legalidade do tratamento realizado anteriormente;
- Oposição: opor-se ao tratamento realizado com fundamento em hipotese de dispensa de consentimento, em caso de descumprimento da LGPD;
- Petição a ANPD: peticionar em relacao aos seus dados contra o controlador perante a Autoridade Nacional de Proteção de Dados.
Para exercer qualquer destes direitos, entre em contato com nosso DPO através do e-mail dpo@authentik.com.br. As solicitações serão respondidas no prazo de 15 (quinze) dias úteis, conforme previsto na LGPD.
10. Segurança dos Dados
Adotamos medidas técnicas e organizacionais adequadas para proteger os dados pessoais contra acessos não autorizados, destruição, perda, alteracao ou qualquer forma de tratamento inadequado ou ilícito:
10.1. Medidas Tecnicas
- Criptografia em transito: todas as comúnicações utilizam HTTPS/TLS 1.2 ou superior;
- Criptografia em repouso: dados sensiveis são criptografados com AES-256;
- Hashing de credenciais: senhas e segredos são armazenados com algoritmos de hashing seguros (bcrypt);
- Chaves de API: transmitidas apenas via cabeçalhos HTTPS, nunca em URLs ou logs;
- Isolamento multi-tenant: dados de cada Cliente são logicamente isolados por identificador de parceiro;
- Rate limiting: proteção contra ataques de força bruta e abuso de API.
10.2. Medidas Organizacionais
- Acesso a dados pessoais restrito a colaboradores autorizados com base no princípio do mínimo privilegio;
- Treinamento periodico em proteção de dados e segurança da informação;
- Procedimentos de resposta a incidentes de segurança;
- Revisão periódica de acessos e permissoes.
10.3. Incidentes de Segurança
Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, a iTask comúnicara a ocorrencia a Autoridade Nacional de Proteção de Dados (ANPD) e aos titulares afetados, conforme previsto no Art. 48 da LGPD, em prazo razoavel.
11. Cookies e Tecnologias de Rastreamento
A plataforma Authentik utiliza cookies e tecnologias similares para melhorar a experiência do usuário e garantir o funcionamento adequado do serviço.
11.1. Tipos de Cookies
| Tipo | Finalidade | Duracao |
|---|---|---|
| Essenciais | Autenticação de sessão, segurança, preferências básicas | Sessão / 30 dias |
| Analiticos | Métricas de uso agregadas, desempenho da plataforma | 12 meses |
| Funcionais | Preferencias de idioma, configurações de interface | 12 meses |
11.2. Gerenciamento de Cookies
Você pode configurar seu navegador para recusar cookies ou alertar quando cookies estão sendo enviados. Note que a desativacao de cookies essenciais pode comprometer o funcionamento da plataforma. Cookies analíticos so serão ativados com seu consentimento.
12. Dados de Usuários Finais
Os "usuários finais" são as pessoas que recebem mensagens de autenticação via RCS ou WhatsApp por meio da plataforma Authentik. Esta seção descreve especificamente o tratamento de dados desses usuários.
12.1. Dados Minimos
O único dado pessoal necessário do usuário final e o número de telefone, fornecido pelo Cliente para o envio da mensagem de autenticação. Nenhum outro dado pessoal do usuário final e exigido pelo Authentik.
12.2. Pseudonimização
Os números de telefone dos usuários finais são tratados de forma pseudonimizada nos sistemas internos do Authentik. Os registros de sessão utilizam identificadores internos, e o número de telefone completo e acessível apenas durante o processo ativo de envio da mensagem.
12.3. Uso Restrito
12.4. Retenção
Os dados de usuários finais (número de telefone e metadados de sessão) são retidos por 90 (noventa) dias após a última sessão de autenticação, exclusivamente para fins de auditoria e resolução de disputas. Após esse período, os dados são anonimizados ou excluidos.
12.5. Dados Enviados via Canal RCS
As mensagens enviadas via canal RCS contem exclusivamente:
- O código de verificação (OTP) ou botao de confirmação;
- Identificacao do serviço remetente (nome do agente RCS);
- Instrucoes breves de uso.
Nenhum dado pessoal adicional do usuário final e incluido nas mensagens RCS. Os dados de entrega e leitura das mensagens RCS são retidos por 90 dias para auditoria, em conformidade com as políticas do Google para agentes RCS.
12.6. Opt-out
Os usuários finais que desejarem não receber mensagens de autenticação devem contatar diretamente o serviço (Cliente) que utiliza o Authentik para autenticação. O Authentik, como operador de dados, processara solicitações de exclusão encaminhadas pelo Cliente de forma tempestiva. Os usuários finais também podem exercer seus direitos diretamente conosco através do e-mail dpo@authentik.com.br.
13. Menores de Idade
A plataforma Authentik não é destinada a menores de 18 anos. Não coletamos intencionalmente dados pessoais de menores. Caso o Cliente utilize o serviço de MFA para autenticar usuários menores de 18 anos, é responsabilidade exclusiva do Cliente obter o consentimento adequado do responsável legal, conforme previsto nos Arts. 14 e seguintes da LGPD.
Caso tenhamos conhecimento de que dados de menores foram coletados sem o consentimento adequado, tomaremos medidas para excluir tais dados.
14. Alterações na Política
Esta Política de Privacidade pode ser atualizada periódicamente para refletir mudancas em nossas práticas de tratamento de dados, alterações legislativas ou melhorias em nossos serviços.
As alterações serão comúnicadas por meio de:
- Atualizacao da data de "Última atualizacao" nesta página;
- Notificacao por e-mail para alterações materiais;
- Aviso no painel administrativo da plataforma.
Recomendamos a revisão periódica desta Política. O uso continuado da plataforma após a publicação de alterações constitui aceitação da Política atualizada.
15. Contato do DPO
Para exercer seus direitos como titular de dados, esclarecer duvidas sobre esta Política ou reportar incidentes de privacidade, entre em contato com nosso Encarregado de Proteção de Dados (DPO):
- E-mail do DPO: dpo@authentik.com.br
- E-mail geral: contato@authentik.com.br
- Empresa: iTask Solutions Ltda
- CNPJ: 09.543.337/0001-10
As solicitações relacionadas a direitos do titular serão respondidas no prazo de 15 (quinze) dias úteis, podendo ser prorrogado por igual período em casos de complexidade, mediante justificativa ao solicitante.
16. Data de Vigência
Esta Política de Privacidade entra em vigor na data de sua publicação, em 26 de março de 2026, e permanece vigente por prazo indeterminado, até que sejá substituida por versão atualizada.
Versoes anteriores desta Política podem ser solicitadas ao DPO pelo e-mail dpo@authentik.com.br.